TkLocker分析报告

TkLocker分析报告

作者:王欢

概述

在PC领域,“勒索软件”这个词在去年一个名为CryptLocker的病毒爆发之后逐渐进入公众视线,其会将用户文档资料全部加密,而用户必须给黑客支付300美元或0.5比特币才能找回自己的文档资料。而近期我们已经发现Android平台也出现了一款名为SimpLocker的病毒在国外传播,其行为与CryptLocker如出一辙。

而今我们发现国内的用户也不能幸免,TkLocker病毒的出现无疑给国内的用户敲响了警钟,其病毒作者最初是以炫耀技术为目的开发了一款名为“不要好奇,千万别打开”的恶搞程序,强行锁定用户手机24小时,使用户在这24小时内无法对手机进行任何操作,而后来其不满足于此,制作了近600款恶意程序,并有很多具有诱惑性的名称,诸如“天天酷跑专用修改(超哥破解)”、“100部BT种子(你懂的)”、“让任何人都惊喜的东西”、“天天酷跑秒杀275外挂”等,妨碍用户正常使用手机,其很可能进化成如CryptLocker和SimpLocker一样的“敲竹杠”软件,提醒用户尽量安装360手机卫士或者360手机杀毒等安全软件以防中招。如果用户已经中招,请用数据线将手机与电脑连接起来,然后在电脑上下载并安装“360系统急救箱”,使用其中的“手机木马专杀”功能查杀病毒。

病毒行为分析

其启动后会启动一个acitivity界面,如下图:

image8

而后用户无论如何操作都无法退出这个界面,其实现过程如下:

首先创建一个计时器,时间设定时间为24小时,24小时后程序解锁。

image2

而后一直不停查询当前显示界面是否为恶意activity本身,若不是则结束当前程序并启动恶意activity。

image3

另外,若用户尝试关机重启,其还会提示“强制关机系统会报废!哈哈~”,实际没有这个能力,但软件会接收开机广播,开机后自动启动,这样重启仍然无法解决问题。

image4

目前360安全中心已捕获到TkLocker系列样本近600个,总感染量超过57000人,其中感染量最多三个软件的是“天天酷跑专用修改(超哥破解)”(19341人), “妖艳制作”(12462人),以及“让任何人都惊喜的东西”(5092人),

以下是其他相同软件截图。

 2014-06-18_16-47-16

这些软件暂时还都是恶搞软件,功能也都相同,24小时后会自动停止。但可以预计的是,未来黑客可利用这种方式进行勒索。

 

解决方案

目前,我们的“360系统急救箱”已经支持对该木马进行查杀,下载地址是:

http://www.360.cn/jijiuxiang/index.html

如果用户已经中招,请用数据线将手机与电脑连接起来,然后在电脑上下载并安装360系统急救箱,使用其中的“手机木马专杀”功能查杀病毒。同时建议用户从正规渠道购买手机,安装360手机卫士保护手机安全。如遇到病毒反复查杀、手机中静默安装软件等异常现象,及时向我们反馈。

发表评论

电子邮件地址不会被公开。 必填项已用*标注